用Azure Sphere保护物联网应用？

今年年初，微软Azure Sphere物联网安全服务平台的正式商用让很多开发者技痒，都想在自己的物联网应用上试着用一把。毕竟，面对物联网这个让人怵头的“刚需“，能有来自微软的技术支撑做背书当然是件好事。况且，Azure Sphere提出的认证芯片、操作系统、安全云服务三位一体的解决方案体系，看上去是如此完美，大家都希望全面的物联网安全防护，从此就如探囊取物一般。

但是且慢，作为一个新的技术，Azure Sphere全面渗透到各个领域，还需要一个过程，很多技术细节问题还需要通过Azure Sphere生态的不断完善去解决。以一个IoT设备的硬件开发为例，想让它从“裸奔”到穿上可靠的“防护服”，这中间有大量的功课要做。尽管Azure Sphere在为开发者提供认证芯片——比如联发科的MT3620——但这也仅仅算是一个原材料，想要真正构建起一个完整的物联网安全硬件体系，中间的设计鸿沟（至少是一些大大小小的“坑”）是必须跨越的。所以真正“拥抱”Azure Sphere之前，大家都免不了要花些时间，想想清楚。

不过，如果你还没有完全想清楚，也不要紧，因为在Azure Sphere硬件开发方面已经有很多人在替你“操心”了——比如安富利——而且这心操得还很全面，不论你是处于何种需求阶段的开发者，安富利都有相应的解决方案提供给你。不信？那就随我们一起来看看吧。

“从硬件抓起”是Azure Sphere不同于其他单纯的安全云服务的一个鲜明的特点，而且已经有了MT3620这种成熟的Azure Sphere认证MCU可供使用。从之前我们的文章《微软Azure Sphere物联网安全平台背后，谁在提供“硬”支撑？》中，大家就可以了解到这颗内置了微软Pluton安全子系统和Wi-Fi无线电、集成了一颗Arm Cortex-A7和两颗Arm Cortex-M4F内核，以及丰富外设资源的芯片，其功能是多么了得。

可是熟悉硬件开发的人都知道，吃透一颗芯片并最终将其应用在产品中，这个过程并不容易，开发者需要通过Datesheet和技术资料了解芯片的内部功能，还需要通过外围电路的PCB布局布线确保芯片与外设的高效连接，这需要相当的功力，也需要花费不少时间。而安富利推出的MT3620模块，在很大程度上帮助开发者解决了这个问题——通过将RF前端电路以及必要的接口，与MT3620集成在一个33mm x 22mm的小型模块上，可以让基于Sphere的硬件开发时间大为缩短。

而且，安富利还很贴心地提供了两个版本的MT3620模块：一个是集成了芯片天线、具有更高集成度和成本优势的芯片天线版；另一个是包括两个U.FL射频连接器，可连接外置2.4/5GHz天线，实现更好的无线连接性能的UFL版。而且这两个版本的模块是完全兼容的，这就为开发者提升设计的灵活性和可扩展性带来了便利。

对于那些应用目标已经比较明确的开发者，这种生产就绪型的MT3620模块，无疑可以让硬件开发者将更多的精力放在系统级的设计上，而无需在底层芯片级应用开发上耗费更多的时间精力。

图1，芯片天线版安富利Azure Sphere MT3620模块系统框图（图源：Element14）

图2，ULF天线版安富利 Azure Sphere MT3620模块（图源：Element14）

当然，现实中硬件开发者的需求是多层次的。如果你是一个脑子中充满了创意，希望探索Azure Sphere更多可能性的开发者，一个Azure Sphere认证芯片模块显然就不够用了，这时寻找一款包括核心Azure Sphere MCU，集合了物联网应用开发资源的开发工具，就十分必要了。

安富利专门为这个层次上的开发者提供了一款Azure Sphere MT3620入门级开发套件，该开发套件包括了上述的MT3620模块和一块载板，前者提供计算处理和无线通信功能，而后者则包括了传感器（包括3D加速度计、3D陀螺仪、温度传感器和环境光传感器）、接口（两个MikroE Click插槽、一个I2C Grove连接器、图形显示器连接器，以及开发调试接口等）和人机交互界面（可选的128x64 OLED显示屏）等丰富的板载资源，构成一个完整的开发平台。基于这样的平台，开发者不论是评估MT3620芯片，还是快速创建一个基于Azure Sphere的安全物联网应用原型，都是游刃有余。

图3，安富利 Azure Sphere开发工具板载资源（图源：Element14）

说到这里，上述的Sphere模块也好，开发工具也罢，针对的用户都是那种正在搭建新的IoT系统，且在设计之初就在考虑将Azure Sphere安全服务与系统内部深度融合的类型，他们通常会有专门的硬件团队去负责基于Azure Sphere认证芯片自上而下完整的正向设计开发。微软将此类用户定义为“Greenfield”用户。

但是在现实中，还有一类用户，他们希望对现有的存量设备进行升级改造，这些设备不具备物联网安全功能，甚至是没有接入物联网，而对这些设备硬件完全的翻新和替代是不可能，这类客户内部往往也没有专业的安全和硬件团队做支持。实际上这样的应用场景，在现实中十分普遍，微软将其定义为“Brownfield”用户。如何将这些用户的存量设备纳入到Azure Sphere保护中？微软给出的解决方案是通过一个所谓的“守护者模组（Guardian Module）”来实现。

简单地说，Guardian Module就是一个独立于现有设备之外并与其相连接的安全模组，他内置Azure Sphere功能，成为现有设备与Azure Sphere安全云服务之间的桥梁。Guardian Module在云端认证成功后，会获取一个Azure Sphere安全服务“签署”的证书，凭借此证书作为“通行证”，与Guardian Module相连接的现有设备就可以享有一系列Azure Sphere提供的安全云服务了。

图4，利用Guardian Module为现有设备提供Azure Sphere安全云服务（图源：微软）

微软在官网中向用户推荐的Guardian Module，就是来自安富利的Guardian 100模组。用户可将Guardian 100模组通过以太网或USB接口与现有IoT设备连接，无需专业的人员的支持，即可便捷地将该设备置于Azure Sphere的安全保护伞下，这实在是一种“即插即用”的体验，特别适合于那些作用关键、价值不菲的设备的升级改造。目前Guardian 100模组正在进行FCC/IC/CE/RoHS等一系列行业认证，让遍布全球的用户使用起来更加顺畅无忧。

图5，安富利 Guardian 100安全模组（图源：Element14）

总之，无论你是缺乏物联网安全专业资源的“小白”用户，希望为自己的设备添加Azure Sphere安全防护；还是物联网应用的开发者，希望在原型设计中尝鲜Azure Sphere的强大功能；或是一个希望快速将Azure Sphere MCU投入商用方案的用户，安富利都可以为你提供相应的解决方案，帮助你跨越硬件设计的鸿沟，让全面的物联网安全变得触手可及！